| | | | |
| |||||||
| PHP-Fortgeschrittene Arbeiten mit PHP ohne Einschränkungen |
 |
| | LinkBack | Themen-Optionen | Thema bewerten |
10.09.2007, 19:23
| |
| Neuer Benutzer Registriert seit: 10.09.2007
Beiträge: 3
 |  Ungültige und gültige Sessions Hallo zusammen, wir betreiben einen weltweiten Onlineshop und haben ein (kleines?) großes Problem: Jeder Kunde wird in eine eigene Gruppe gesetzt. Einige Gruppen haben die Berechtigung für bestimmte Produkte. Soweit kein Problem. Doch was passiert, wenn ein Kunde aus einer Gruppe mit erweiterter Berechtigung die URL an xy sendet? Solange die Session aktiv ist, würde der Empfänger als der Sender eingeloggt sein und würde Produkte sehen, die er nicht sehen darf. Wir haben nun versucht über eine Abfrage (Browser, Sprache, Referer etc.) dieses zu verhindern (Empfänger bekommt den Link, neue Session wird erzeugt...) Hat auch einigermassen funtkioniert - nur das bei einigen Kunden nun laufend neue Sessions generiert worden sind und sie automatisch ausgeloggt wurden (in der MySql Datenbank sind die Sessions noch aktiv.....?!?). Wir benutzen keine Cookies, gibt es einen einfachen (oder auch schweren) Weg unsere Anforderung zu realisieren? Weiterhin würde uns interessieren, welches Unternehmen, bzw. welcher Programmierer in Deutschland als PHP Papst gilt und ob man diesen in solchen Fragen kontaktieren kann. danke und gruß Micha |
|  |
 | |
| PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten | |
|
10.09.2007, 22:56
| |
| Benutzer Registriert seit: 11.08.2007
Beiträge: 39
| Wie wäre es, wenn ihr einfach zusätzlich noch die IP mit in die Session speichert und wenn diese gleich der aufrufenden IP ist, dann muss keine neue session erzeugt werden ansonsten eben schon. |
|
| |
|
10.09.2007, 23:02
| |
| Neuer Benutzer Registriert seit: 10.09.2007
Beiträge: 3
| IP Wenn s doch so einfach wäre.....AOL und andere wechseln die IP alle x sekunden (Das heisst, dass eingeloggte Kunden nach x sekunden ausgeloggt würden). In großen Unternehmen arbeiten alle mit der gleichen IP. Bis auf die ersten beiden Stellen kann man das also (leider) nicht nutzen. gruß Micha |
|
| |
|
10.09.2007, 23:20
| |
| Benutzer Registriert seit: 11.08.2007
Beiträge: 39
| Wenn ihr keinerlei cookies verwenden wollt, dann fällt mir jetzt keine möglichkeit ein, dieses Problem zu umgehen. Wenn es euch jedoch nicht stören würde zumindest session cookies zu verwenden, dann könntet ihr in der php.ini die option session.use_only_cookies auf 1 setzen wodurch die session id nicht mehr in der url auftauchen würde. Dann könnten die Kunden die links ohne probleme weitergeben. |
|
| |
|
10.09.2007, 23:25
| |
| Neuer Benutzer Registriert seit: 10.09.2007
Beiträge: 3
| cookies werden wir morgen früh gleich probieren, hört sich jedenfalls vielversprechend an !!! DANKE schonmal! gruß Micha |
|
| |
|
11.09.2007, 08:38
| |
| Erfahrener Benutzer Registriert seit: 03.08.2007
Beiträge: 127
| ähm nur eine frage übergebt ihr die session id in der url? wenn ja ist klar das jemand anderes die session übernehmen kann aber warum sollte man die session id in der url übergeben mache ich bei keinem projekt... |
|
| |
|
11.09.2007, 22:23
| ||
| Moderator  Registriert seit: 02.10.2006
Beiträge: 3.820
PHP-Kenntnisse: Fortgeschritten | Das Problem wird oft diskutiert such einfach mal in Google nach Session Hijacking oder ähnlichem. Zitat:
| |
|
| |
|
13.09.2007, 14:12
| ||
| Erfahrener Benutzer Registriert seit: 03.08.2007
Beiträge: 127
| Zitat:
 Ansonsten würde ich sagen das man alle möglichen variablen des PC abgreift also alle Infos Sammeln stimmt eine davon nicht mehr heißt es und Tschüß | |
|
| |
|
26.11.2007, 10:17
| |
| Neuer Benutzer Registriert seit: 26.11.2007
Beiträge: 13
  | du musst einfach auf jeder seite die Session-ID neu generieren... session_regenerate_id(); dann gibt es keine Möglichkeit eine aktive Session zu missbrauchen... Wird übrigens bei Bankensystemen auch so eingesetzt... mfg CHAOS.A.D |
|
| |
| |
| Themen-Optionen | |
| Thema bewerten | |
|
|
Ähnliche Themen | ||||
| Thema | Autor | Forum | Antworten | Letzter Beitrag |
| Sessions und Logins | Faebe | PHP Tipps 2008 | 1 | 29.10.2007 09:04 |
| Sessions, wie funktioniert das eigentlich genau? | tinchen | PHP Tipps 2008 | 7 | 08.10.2007 15:06 |
| 2 Sessions | Kein Genie | PHP Tipps 2006 | 8 | 21.07.2006 15:45 |
| [Erledigt] probleme mit sessions | PHP Tipps 2007 | 1 | 17.11.2005 10:43 | |
| Nach Einfügugng der Sessions funktioniert mein Program nicht | PHP-Fortgeschrittene | 1 | 02.10.2005 06:13 | |
| Module im Eingenbau die 2te (SESSIONS and Security) | ChewyF5 | PHP-Fortgeschrittene | 8 | 05.08.2005 11:16 |
| Sessions! | DER_Brain | PHP Tipps 2005-2 | 5 | 30.06.2005 14:51 |
| 2 Sessions? | PHP Tipps 2005 | 5 | 29.04.2005 19:04 | |
| [Erledigt] [PHP5 / W2k3 / IIS] Sessions funktionieren nicht | PHP-Fortgeschrittene | 2 | 02.04.2005 00:39 | |
| fenster nicht ohne sessions gelöscht zu haben schlie. lassen | PHP Tipps 2005 | 1 | 14.02.2005 21:16 | |
| Proble mit Sessions | PHP Tipps 2005 | 7 | 07.02.2005 17:42 | |
| Sessions werden automatisch an Links angehängt | PHP-Fortgeschrittene | 3 | 10.12.2004 13:50 | |
| Sessions auf Apache2 gehen nicht! | Server, Hosting und Workstations | 1 | 27.09.2004 17:39 | |
| [Erledigt] Usermanagement mit Sessions - Sicherheitsprobleme ? | PHP Tipps 2004 | 0 | 30.06.2004 09:49 | |
| Sessions, sessions und nochmal sessions | PHP-Fortgeschrittene | 0 | 06.06.2004 00:36 | |
